一
背景概述
近期,安恒信息CERT捕获一批SFX自解压钓鱼样本。经过研判,我们推测本次捕获钓鱼样本属于Gamaredon组织。Gamaredon是位于俄罗斯的高级持续性威胁组织 (APT),与其他威胁组织不同的是,Gamaredon似乎攻击目标仅限于乌克兰国家。部分诱饵文档如下:
部分诱饵文件
二
攻击流程
本次攻击主要分为两类样本,一类打包诱饵文档以及VNC软件,自解压执行。另一类打包wget程序,远程下载后续模块。攻击流程图如下:
流程图
三
样本分析
我们将本次捕获的样本分为两类:
样本信息
第一类是伪装成Word文件的SFX自解压程序,此类样本在执行时会释放诱饵文档。最终通过具有合法数字签名的VNC软件实现远程控制。
VNC软件
第二类是伪装成常用工具的SFX自解压程序,此类样本无诱饵文档。通过重命名的wget工具下载第三阶段样本,通常第三阶段样本是VNC软件。
wget下载
wget程序
伪装成Word文件的SFX自解压程序内容如下,在用户运行时会将以下内容释放至%temp%目录,并通过批处理脚本释放并启动VNC软件。
自解压文件内容
伪装成常用工具的SFX自解压程序内容如下,通过批处理脚本启动wget(ImagingDevices.exe)程序下载后续恶意文件。我们未能取得后续恶意文件,根据以往Gamaredon活动推测,wget程序用于下载VNC软件。
自解压文件内容
批处理脚本中判断系统语言环境的代码片段验证了Gamaredon组织的攻击目标仅限于使用俄语的人或乌克兰人。
代码片段
四
溯源关联
本次攻击活动中,样本关联基础设施与以往Gamaredon组织存在重叠。特征如下:
1. 攻击活动使用域名
本次攻击活动所使用域名及URL:
http://versiya-spread.myftp[.]org/spider/%vers%http://versiya-spread.myftp[.]org/spider/update/%updata%http://updates-spreadwork[.]pwwin32soft[.]comgoogle-spr[.]ddns[.]net/get[.]phpgoogle-drop[.]ddns[.]net/updates[.]phpmicrosoftsupertech[.]comlinux-techworld[.]com
以往攻击活动所使用域名:
versiya-spread.myftp[.]orgwincreator[.]ddns[.]netbitwork[.]ddns[.]netwinrouts[.]ddns[.]netwidusk[.]ddns[.]networkusb[.]ddns[.]nettorrent-videos[.]ddns[.]netsprs-files[.]ddns[.]netsprs-updates[.]ddns[.]netspread-new[.]ddns[.]netdrop-new[.]ddns[.]nettelo-spread[.]ddns[.]netdropdrop[.]ddns[.]netbitvers[.]ddns[.]netmy-certificates[.]ddns[.]netkristousb[.]ddns[.]netmy-work[.]ddns[.]netspr-d2[.]ddns[.]netmilitary-ua[.] ddns[.]netbitlocker[.]ddns[.]netconst-gov[.]ddns[.]nettor-file[.]ddns[.]nettorrent-vnc[.]ddns[.]net
2. 批处理脚本代码片段风格相同
本次攻击活动代码片段
历史攻击活动代码片段
五
总结
本次分析Gamaredon组织攻击活动与往期捕获Gamaredon组织攻击活动中所使用的样本在战术上并无太大变化。攻击活动中使用的技术难度较低,但Gamaredon组织使用各种公开的三方软件,如某VNC软件、7z压缩程序、wget程序。这也意味着,此类攻击方法在实战中具有一定的效果。
六
IOC
|
http://versiya-spread.myftp[.]org/spider/%vers% |
|
http://versiya-spread.myftp[.]org/spider/update/%updata% |
|
http://updates-spreadwork[.]pw |
|
win32soft[.]com |
|
google-spr[.]ddns[.]net/get[.]php |
|
google-drop[.]ddns[.]net/updates[.]php |
|
microsoftsupertech[.]com |
|
linux-techworld[.]com |
|
7ZSfxMod_x86.exe |
F868477F18B7DE522E40198E124DA37C |
|
CSPSetup.exe |
9FE56980FB9E30DE04D1643E36E4A0D1 |
|
AdapterTroubleshooter.exe |
0ABA458D3A395079E2E8A940B84F8F94 |
|
7ZSfxMod_x86.exe |
2F61AB38AD39627682C1BA8922320E30 |
|
AdapterTroubleshooter.exe |
27D55B1BFD4330E73937859C2EAF1D27 |
|
7ZSfxMod_x86.exe |
49749EE8FB2A2DAB83494AB0E6CF5E7B |
|
7ZSfxMod_x86.exe |
DE71A9BFCFA46F8186F53B41D7B7E40F |
七
安恒信息CERT
安恒信息CERT是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞、安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。
安恒信息CERT
2022年5月
原文始发于微信公众号(安恒信息CERT):Gamaredon APT近期攻击活动分析
